Я создаю довольно небольшое веб-приложение на PHP, где (доверенный) администратор может, среди прочего, хранить сотни объектов в базе данных. Пользователь может ввести ряд сведений об этих объектах в виде текстовых полей (элемент ввода с атрибутом type, установленным на «текст»).
Объекты с их деталями отображаются в виде таблицы, экранированной функцией htmlspecialchars
. Однако эта функция не защищает от злонамеренного использования тегов html, например, тега <script>
.
Вопрос в том, следует ли очищать все введенные пользователем данные (каждую ячейку в таблице) с помощью чего-то вроде HTMLPurifier, который уже используется в других местах приложения. И если да, то как лучше всего это сделать, так как тысячи раз использовать HTMLPurifier, так как есть много деталей, может вызвать серьезные проблемы с производительностью.
htmlspecialchars
недостаточно для вывода текстовых полей этой таблицы? Или речь идет о том, что контент, добавленный администратором, обрабатывается иначе, чем упомянутые текстовые поля, предоставленные пользователем? - person mario   schedule 04.07.2015